この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Cisco Application Centric Infrastructure(ACI)でスイッチドポートアナライザ(SPAN)を設定する方法について説明します。
一般に、SPANには3つのタイプがあります。ローカルSPAN、リモートSPAN(RSPAN)、およびカプセル化リモートSPAN(ERSPAN)。これらのSPAN間の違いは、主にコピーパケットの宛先です。Cisco ACIはローカルSPANとERSPANをサポートします。
注:このドキュメントでは、読者がローカルSPANとERSPANの違いなど、SPAN全般についてすでに理解していることを前提としています。
Cisco ACIには3種類のSPANがあります。 Fabric SPAN
、 Tenant SPAN
と Access SPAN
.各SPAN間の違いは、コピーパケットの送信元です。
前述したように –
Fabric SPAN
着信および発信パケットをキャプチャする interfaces between Leaf and Spine switches
.Access SPAN
着信および発信パケットをキャプチャする interfaces between Leaf switches and external devices
.Tenant SPAN
着信および発信パケットをキャプチャする EndPoint Group (EPG) on ACI Leaf switches
.このSPAN名は、Cisco ACI GUIで設定する場所に対応します。
Fabric > Fabric Policies
Fabric > Access Policies
Tenants > {each tenant}
各SPANの宛先に関しては、 Access SPAN
両方の機能を備えている Local SPAN
と ERSPAN
.他の2つのSPAN(Fabric
と Tenant
)のみが可能である ERSPAN
.
『Cisco APICトラブルシューティングガイド』の「制限事項とガイドライン」を参照してください。これについては、 Troubleshooting Tools and Methodology > Using SPAN
.
このセクションでは、各SPANタイプの設定に関連する簡単な例を紹介します。後のセクションで、スパンタイプの選択方法に関する特定のサンプルケースがあります。
SPANの設定については、『Cisco APICトラブルシューティングガイド:トラブルシューティングツールと方法論> SPANの使用』でも説明しています。
UIは現在のバージョンとは異なる場合がありますが、設定のアプローチは同じです。
場所:
移動先 FABRIC > ACCESS POLICIES > Troubleshoot Policies > SPAN
.
SPAN Source Groups
SPAN Destination Groups
SPAN Source Group
結び目 Destination
と Sources
.
方法:
SPAN Source Group
(SRC_GRP1)。SPAN Source
(SRC1)の SPAN Source Group
(SRC_GRP1)。SPAN Source
(SRC1)。注:各パラメータの詳細については、図を参照してください。
SPAN Destination Group
(DST_EPG)。SPAN Destination
(DST)SPAN Destination
(宛先)注:各パラメータの詳細については、図を参照してください。
SPAN Destination Group
適切な SPAN Source Group
.Admin State
ルート証明書。注:このAdmin StateでDisabledを選択すると、SPANは停止します。後で再利用する場合は、すべてのポリシーを削除する必要はありません。
また、ERSPANの宛先IPが、指定された宛先EPGの下のエンドポイントとして学習されていることを確認してください。前述の例では、192.168.254.1を次のURLで学習する必要があります。 Tenant TK > Application profile SPAN_APP > EPG SPAN
.または、宛先デバイスがサイレントホストの場合、宛先IPをこのEPGの下で静的エンドポイントとして設定できます。
Fabric > ACCESS POLICIES > Troubleshoot Policies > SPAN
- SPAN Source Groups
- SPAN Destination Groups
SPAN Source Group
結び目 Destination
と Sources
.
SPAN Source Group
(SRC_GRP1)SPAN Source
(SRC1)の SPAN Source Group
(SRC_GRP1)SPAN Source
(SRC1)SPAN Destination Group
(DST_Leaf1)SPAN Destination
(宛先)SPAN Destination
(宛先)SPAN Destination Group
適切な SPAN Source Group
.保証 Admin State
ルート証明書。
※のAdmin StateでDisabledを選択すると、SPANは停止します。後で再利用する場合は、すべてのポリシーを削除する必要はありません。
宛先インターフェイスでは、インターフェイスポリシーグループによる設定は必要ありません。ACIリーフのインターフェイスにケーブルを接続すると機能します。
制限:
アクセススパンソースに対してACLフィルタを使用できます。この機能により、特定のフローまたはSPANソースに入出力するトラフィックのフローをSPANできます。
ユーザは、SPANフロー固有のトラフィックが必要な場合に、SPAN Aclを送信元に適用できます。
ファブリックSPANおよびテナントSPANのソースグループ/ソースではサポートされません。
フィルタグループにフィルタエントリを追加する場合は、注意が必要です。これは、フィルタグループを現在使用しているすべてのソースに対してtcamエントリを追加できるためです。
フィルタグループは次のものに関連付けることができます。
-Span Source:フィルタグループは、このSpan Sourceの下で定義されているすべてのインターフェイスのトラフィックをフィルタリングするために使用されます。
-Span Source Group:フィルタグループ(xなど)は、このSpan Source Groupの各Span Sourceで定義されたすべてのインターフェイス上のトラフィックをフィルタリングするために使用されます。
この設定スナップショットでは、フィルタグループがSpanソースグループに適用されます。
特定のスパンソースがすでにフィルタグループ(yなど)に関連付けられている場合、そのフィルタグループ(y)が、この特定のスパンソースの下にあるすべてのインターフェイスのフィルタグループに代わりに使用されます
– ソースグループに適用されたフィルタグループは、そのソースグループ内のすべてのソースに自動的に適用されます。
– ソースに適用されるフィルタグループは、そのソースにのみ適用されます。
– フィルタグループは、ソースグループとそのソースグループ内のソースの両方に適用されます。ソースに適用されるフィルタグループが優先されます。
– ソースに適用されたフィルタグループは削除され、親ソースグループに適用されたフィルタグループは自動的に適用されます。
– ソースグループに適用されたフィルタグループは削除され、現在そのソースグループに継承されているすべてのソースから削除されます。
Tenants > {tenant name} > Troubleshoot Policies > SPAN
- SPAN Source Groups
- SPAN Destination Groups
※ SPAN送信元グループの関係 Destination
と Sources
.
SPAN Source Group
(SRC_GRP)SPAN Source
(SRC_A) SPAN Source Group
(SRC_GRP)SPAN Source
(SRC_A)SPAN Destination Group
(DST_GRP)SPAN Destination
(DST_A)SPAN Destination
(DST_A)SPAN Destination Group
適切な SPAN Source Group
.Admin State
ルート証明書。
Fabric > FABRIC POLICIES > Troubleshoot Policies > SPAN
- Fabric
- SPAN Destination Groups
※ SPAN Source Group
結び目 Destination
と Sources
SPAN Source Group
(SRC_GRP)SPAN Source
(SRC_A) SPAN Source Group
(SRC_GRP)SPAN Source
(SRC_A)SPAN Destination Group
(DST_GRP)SPAN Destination
(DST_A)SPAN Destination
(DST_A)SPAN Destination Group
適切な SPAN Source Group
.Admin State
ルート証明書。Admin State
.後で再利用する場合は、すべてのポリシーを削除する必要はありません。これについては後の「ERSPANバージョン(タイプ)」の項で説明しますが、ERSPANバージョンIIがファブリックSPANに使用され、バージョンIがテナントおよびアクセスSPANに使用されることを確認できます。
Fabric > ACCESS POLICIES > Troubleshoot Policies > SPAN > SPAN Source Groups > Operational tab
Fabric > FABRIC POLICIES > Troubleshoot Policies > SPAN > SPAN Source Groups > Operational tab
Tenants > {tenant name} > Troubleshoot Policies > SPAN > SPAN Source Groups > Operational tab
動作状態がupであることを確認してください。
SPAN Configuration Policy
または Fabric > INVENTORY > Node > Span Sessions > { SPAN session name }
動作状態がupであることを確認してください。
SPANセッション命名規則:
– ファブリックSPAN:fabric_xxxx
– アクセスSPAN:infra_xxxx
– テナントSPAN:tn_xxxx
このセクションでは、各ACI SPANタイプ(Access, Tenant, Fabric
)各シナリオの基本トポロジについては、前のセクションで説明します。
これらのシナリオを理解している場合は、特定のインターフェイス上のパケットだけをキャプチャする必要がある、またはインターフェイスに関係なく特定のEPG上のすべてのパケットをキャプチャする必要があるなど、要件に適したACI SPANタイプを選択できます。
Cisco ACIでは、SPANは source group
と destination group
.[Source]グループには、インターフェイスやEPGなどの複数のソース要因が含まれています。宛先グループには、ローカルSPANの宛先インターフェイスやESPANの宛先IPなどの宛先情報が含まれます。
パケットがキャプチャされた後、キャプチャされたパケットをデコードするには、「SPANデータの読み取り方法」の項を参照してください。
注:各トポロジで緑色のライトで強調表示されているVMに注目してください。各シナリオでは、強調表示されたVMからパケットをキャプチャします。
Source Group
Destination Group
アクセスSPANでは、1つのSPANセッションに対して複数のインターフェイスを指定できます。EPGに関係なく、指定されたインターフェイスで送受信されるすべてのパケットをキャプチャできます。
複数のリーフスイッチから送信元グループとして複数のインターフェイスを指定する場合、宛先グループはローカルSPANではなくERSPANである必要があります。
この例では、EPG1とEPG2のすべてのVMからパケットをコピーします。
CLIチェックポイント
destination-ip
''はERSPANの宛先IPです。origin-ip
''はERSPANの送信元IPです。
この例では、Leaf1 e1/34が、前のCase1で設定されたSPANソースグループから削除されています。
この例のキーポイントは、アクセスSPANがEPGに関係なく送信元インターフェイスを指定できることです。
CLIチェックポイント
この例は、アクセスSPANが送信元ポートで特定のEPGを指定できることを示しています。これは、複数のEPGが単一のインターフェイス上を流れ、このインターフェイス上のEPG1のトラフィックだけをキャプチャする必要がある場合に便利です。
EPG1はLeaf2に導入されていないため、Leaf2のSPANは障害F1553およびF1561で失敗します。ただし、Leaf1のSPANは引き続き動作します。
また、EPG1はLeaf1上の2つのVLAN(VLAN-751、752)を使用するため、Leaf1上のSPANセッションに2つのVLANフィルタが自動的に追加されます。
CLI(35、39)のVLAN IDは、いわゆるPI-VLAN(Platform Independent VLAN)と呼ばれる内部VLANであり、実際のネットワーク上のIDではないことに注意してください。図に示すように、show vlan extendedコマンドは、実際のカプセル化VLAN IDとPI-VLANのマッピングを示します。
このSPANセッションを使用すると、EPG2(VLAN-753)が同じインターフェイス上を流れていても、Leaf1 e1/11上のEPG1(VLAN-752)に対してのみパケットをキャプチャできます。
CLIチェックポイント
vPCインターフェイスが送信元として設定されている場合、宛先はインターフェイス(ローカルSPAN)ではなくリモートIP(ERSPAN)である必要があります
アクセスSPANは、ローカルSPAN(宛先として特定のインターフェイス)を使用することもできます
ただし、この場合、送信元インターフェイスは宛先インターフェイスと同じリーフ上にある必要があります。
ローカルSPANを使用するアクセスSPANでは、ERSPANと同様にEPGフィルタも使用できます。
これは、アクセスSPAN(ERSPAN)のケース3に似ていますが、この例では、Leaf1上の1つだけのSPANセッションが失敗します。これは、EPG3がLeaf1上に存在しないためです。そのため、SPANはまったく機能しません。
アクセスSPANのEPGフィルタは、送信元ポートが設定されている場合にのみ機能します。指定するソースがEPGのみである場合は、アクセスSPANの代わりにテナントSPANを使用する必要があります。
vPCインターフェイスは、ローカルSPANを使用して送信元として設定できません。ERSPANを使用してください。アクセスSPAN(ERSPAN)については、ケース4を参照してください。
SPANの宛先I/FがすでにEPGに属している場合は、物理I/Fの下で障害「F1696: Port has an invalid configuration of both EPG and span destination」が発生します。
しかし、この障害があっても、SPANは問題なく動作します。この障害は、同じI/F上の顧客の通常のEPGトラフィックに影響を与える可能性があるため、SPANによって引き起こされる余分なトラフィックに関する警告にすぎません。
テナントSPANはソースとしてEPG自体を使用しますが、アクセスSPANはフィルタのためだけにEPGを使用します。
テナントSPANの重要なポイントは、個々のポートを指定する必要がなく、ACIが各リーフスイッチで適切なVLANを自動的に検出することです。そのため、特定のEPGのすべてのパケットを監視する必要があり、そのEPGのエンドポイントがリーフスイッチ全体の複数のインターフェイスに属している場合に便利です。
ファブリックSPANは、ファブリックポートを送信元として指定します。ファブリックポートは、リーフスイッチとスパインスイッチ間のインターフェイスです。
このSPANは、リーフスイッチとスパインスイッチ間でパケットをコピーする必要がある場合に便利です。ただし、リーフスイッチとスパインスイッチ間のパケットは、iVxLANヘッダーでカプセル化されます。だから、それを読むにはちょっとしたトリックが必要です。「SPANデータの読み方」を参照してください。
注:iVxLANヘッダーは、ACIファブリック内部でのみ使用される拡張VxLANヘッダーです。
ファブリックSPANでは、アクセスSPANと同様にフィルタを使用できます。ただし、フィルタタイプは異なります。ファブリックSPANは、フィルタとしてVirtual Routing and Forwarding(VRF)またはBDを使用します。
Cisco ACIでは、前述のように、ファブリックポートを通過するパケットはiVxLANヘッダーでカプセル化されます。このiVxLANヘッダーには、仮想ネットワーク識別子(VNID)としてVRFまたはBD情報が含まれています。パケットがレイヤ2(L2)として転送される場合、iVxLAN VNIDはBDを表します。パケットがレイヤ3(L3)として転送される場合、iVxLAN VNIDはVRFを表します。
そのため、ファブリックポートでルーテッドトラフィックをキャプチャする必要がある場合は、フィルタとしてVRFを使用します。
前のケース2で説明したように、ファブリックSPANはBDをフィルタとして使用できます。
ファブリックポートでブリッジされたトラフィックをキャプチャする必要がある場合は、フィルタとしてBDを使用します。
注:一度に設定できるフィルタは、BDまたはVRFのいずれか1つだけです。
次のようなパケットキャプチャアプリケーションを実行 tcpdump, wireshark
進みます。ERSPAN宛先セッションなどを設定する必要はありません。
SPANパケットは宛先IPに転送されるため、必ずERSPANの宛先IPを持つインターフェイスでキャプチャツールを実行してください。
受信したパケットはGREヘッダーでカプセル化されます。ERSPAN GREヘッダーをデコードする方法については、このセクション「ERSPANデータの読み取り方法」を参照してください。
ACIリーフのSPAN宛先インターフェイスに接続するインターフェイスで、必ずキャプチャツールを実行してください。
このインターフェイスでrawパケットが受信されます。ERSPANヘッダーを処理する必要はありません。
ERSPANは、コピーされたパケットをカプセル化して、リモートの宛先に転送します。このカプセル化にはGREが使用されます。GREヘッダー上のERSPANのプロトコルタイプは0x88beです。
Internet Engineering Task Force(IETF;インターネット技術特別調査委員会)のドキュメントでは、ERSPANのバージョンはversionではなくtypeと記述されています。
ERSPANには3つのタイプがあります。I、II、III。ERSPANタイプについては、このRFCドラフトで説明されています。また、このGRE RFC1701は、各ERSPANタイプを理解するためにも役立ちます。
各タイプのパケット形式を次に示します。
タイプIは、GREヘッダーのシーケンスフィールドを使用しません。ERSPANタイプIIおよびIIIの場合、GREヘッダーの後に続く必要があるERSPANヘッダーも使用しません。Broadcom Trident 2は、このERSPANタイプIのみをサポートしています。
シーケンスフィールドがSビットによってアクティブ化される場合、ERSPANタイプIIまたはIIIである必要があります。ERSPANヘッダーのバージョンフィールドは、ERSPANタイプを識別します。ACIでは、タイプIIIは2016年3月20日の時点ではサポートされていません。
アクセスまたはテナントSPANのSPAN送信元グループが第1世代と第2世代の両方のノードに送信元がある場合、ERSPAN宛先は各世代のノードからERSPANタイプIとIIの両方のパケットを受信します。ただし、Wiresharkでは一度に1つのERSPANタイプしかデコードできません。デフォルトでは、ERSPAN Type IIのみをデコードします。ERSPANタイプIのデコードを有効にすると、WiresharkはERSPANタイプIIをデコードしません。WiresharkでERSPANタイプIをデコードする方法については、後述のセクションを参照してください。
この種の問題を回避するには、SPAN宛先グループにERSPANタイプを設定します。
デフォルトでは、[SPAN Version]は[Version 2]で、[Enforce SPAN Version]はオフになっています。つまり、ソースノードがERSPANタイプIIをサポートする第2世代以降の場合、タイプIIでERSPANが生成されます。ERSPANタイプII(ファブリックSPANを除く)をサポートしていない第1世代の送信元ノードは、[Enforce SPAN Version]がチェックされていないため、タイプIにフォールバックします。その結果、ERSPAN宛先は混合タイプのERSPANを受信します。
次の表に、アクセスとテナントSPANの各組み合わせを示します。
SPANバージョン |
SPANバージョンの適用 |
第1世代ソースノード |
第2世代ソースノード |
バージョン 2 |
非選択 |
タイプIを使用 |
タイプIIを使用 |
バージョン 2 |
チェックボックスをオンにします。 |
失敗 |
タイプIIを使用 |
バージョン 1 |
非選択 |
タイプIを使用 |
タイプIを使用 |
バージョン 1 |
チェックボックスをオンにします。 |
タイプIを使用 |
タイプIを使用 |
パケットはERSPANタイプIでカプセル化されるため、デコードする必要があります。これはWiresharkで実行できます。「ERSPANタイプ1のデコード方法」の項を参照してください。
Wiresharkは自動的にERSPAN Type IIをデコードします。ただし、iVxLANヘッダーによってカプセル化されます。
デフォルトでは、WiresharkはACI内部ヘッダーであるため、iVxLANヘッダーを認識しません。「iVxLANヘッダーのデコード方法」を参照してください。
オプション 1移動先 Edit > Preference > Protocols > ERSPAN
FORCEにチェックマークを付けて、疑似ERSPANフレームをデコードします。
user1@linux# tshark -f 'proto GRE' -nV -i eth0 -o erspan.fake_erspan:true
注:ERSPANタイプIIまたはIIIを読み取る場合は、このオプションを必ず無効にしてください。
オプション 2移動先 Decode As > Network > ICMP (if it’s ICMP)
.
iVxLANヘッダーは宛先ポート48879を使用します。したがって、UDP宛先ポート48879をWireshark上のVxLANとして設定すると、iVxLANヘッダーとVxLANヘッダーをデコードできます。
Analyze > Decode As > Transport > UDP destination (48879) > VxLAN
.Apply
.注:ファブリックポート上のAPIC間に通信パケットがあります。これらのパケットは、iVxLANヘッダーによってカプセル化されません。
Precision Time Protocol(PTP)を実行しているユーザネットワークでerspanキャプチャを取得すると、GREカプセル内の未知のEtherType(0x8988)のためにWiresharkがデータを解釈しないことが時々見られます。0x8988は、PTPが有効な場合にデータプレーンパケットに挿入される時間タグのEtherTypeです。Ethertype 0x8988を「Cisco ttag」としてデコードし、パケットの詳細を公開します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
01-Feb-2023 |
初版 |